Open1
Androidの逆引き大全
shohei@株式会社NeverFitness API(Google Fit)のOAuth検証を通す
アプリ審査を通す
Google Cloud PlatformのOAuth認証より申請する。
説明
留意点は以下の通り。
-
プライバシーポリシーのリンクが機能していること
- OAuth認証の欄
- ホームページ内のプライバシーポリシー
-
プライバシーポリシーの内容
- 個人情報の取り扱いについて明記されていること
- データセーフティーに関して明記されていること
- 実際に審査が通ったアプリのプライバシーポリシー
-
Fitness API使用のデモ動画
- 実機で録画すること
- 端末の言語設定は英語にすること(使用許可ダイアログが英語表記でないといけないため)
- アプリ起動 → Fitness APIの使用を許可 → 歩数を取得して表示されるまでのシーンを録画
- Fitness APIの使用許可ダイアログが出ない場合は、Google Fitから連携するアプリに既に組み込まれているため、解除する。
- YouTube or Google Driveにアップロードしてリンクを共有する。
CASA審査を通す
アプリ審査が通ると、CASA審査のメールが届く。手段は選べるのでセルフスキャン(2 - Tier 2 Self Scan Using Open Source Tool)を実施する。
説明
静的解析スキャンでレポートを作成
以下のドキュメントを参考にスキャンする
dockerコンテナをダウンロードする。
docker pull ghcr.io/fluidattacks/makes/arm64:latest
fluid-config.yamlをセットする。
namespace: sekaiisan_walking
output:
file_path: ./Fluid-Attacks-Results.csv
format: CSV
working_dir: .
language: EN
sast:
include:
- ./android
sca:
include:
- ./android
exclude:
- ./android/Gemfile.lock
apk:
include:
- ./build/app/outputs/apk/production/release/app-production-release.apk
スキャンを実行する。
docker run -v .:/working-dir ghcr.io/fluidattacks/makes/arm64 m gitlab:fluidattacks/universe@trunk /skims scan ./fluid-config.yaml
スキャンされたFluid-Attacks-Results.csvの内容を見て、指摘事項を解消する。指摘事項があるが解消しなくても良いと判断したものはその理由を揃える(後述)
PwC Digitalにレポートを提出
PwC Digitalにレポート結果を送信する。
TODO
※提出から2週間はかかる見込み
指摘事項の対応
-
- Sensitive information in source code
- FirebaseのキーがNGになるが、Firebaseのドキュメントを引用して問題ないことを伝えた。
-
- Insecure service configuration - Webview
- setJavaScriptEnabledがtrueでNGになるが、WebViewでallowFileAccessFromFileURLsとallowUniversalAccessFromFileURLsの設定をfalseにしており、クロスオリジン リソース アクセスを禁止しているため問題ないと伝えた。利用しているWebViewのドキュメント
参考記事
説明